Nella directory `mu-plugins` è stata scoperta una backdoor WordPress stealth che sfruttava un URL offuscato da ROT13 per recuperare ed eseguire un payload remoto. Il payload, memorizzato nel database e temporaneamente su disco, includeva un file manager nascosto, creava un utente amministratore ("officialwp") e scaricava un plugin auto-reinstallante. Il malware ripristinava anche le password di amministratore più comuni, garantendo un accesso persistente di livello amministratore al sito compromesso..
Fonte: https://blog.sucuri.net/2025/07/uncovering-a-stealthy-wordpress-backdoor-in-mu-plugins.html
Source:
https://ransomfeed.it/news.php?id_news=nid&nid=52